Moderno društvo postalo je posve ovisno o internetskim servisima što se u pandemiji pokazalo kao pozitivno za manje-više normalno funkcioniranje društva. No, sve češće svjedočimo velikim hakerskim napadima, bilo da su motivirani financijskim ili političkim razlozima, kojima se kibernetički ugrožavaju tvrtke, institucije, ali i pojedinci – nedavno smo svjedočili takvom napadu na jednog od najvećih hrvatskih i regionalnih telekoma, a svakodnevno pljušte optužbe između Rusije i Zapada oko upada u vitalne institucije društva.
Koliko su te prijetnje realne, kako se od njih zaštiti, gdje je tu Hrvatska te kamo tehnološki idemo, govori Ivica Gašparić, tehnički direktor zagrebačke IT tvrtke Verso Altima koja je jedan od regionalnih lidera u kibernetičkoj zaštiti, a sa svojim Cyber Defense Centrom pružaju uslugu detekcije kibernetičkih incidenata, prijetnji i ranjivosti.
Intervju Darka Bičaka prenosimo s portala Poslovni.hr.
Danas je gotovo sve online. Koliko je realna opasnost da nam se dogodi nešto poput onog što možemo gledati u distopijskim SF filmovima?
Situacija prikazana u filmovima je obično pretjerana. Međutim, opasnost od kibernetičkih napada većih razmjera koji će utjecati na naš svakodnevni život postoji. Ne na način kako je to prikazano u filmovima, ali dovoljno da nam znatno oteža život. Zamislite samo da smo zbog kibernetičkog napada svi prisiljeni koristiti isključivo gotovinu. Kakvi redovi bi nastali pred poslovnicama banaka? Kakve probleme bi to prouzročilo trgovinama koje bi odjednom morale brinuti u ogromnoj količini gotovine.
To su samo neki od problema. Financijski sektor veliku pažnju posvećuje sigurnosti i nije izgledno da se tako nešto može desiti, ali nije ni nemoguće. Danas je teško naći sustav, proces ili proizvodnu liniju koji na neki način nije direktno ili indirektno povezan s online svijetom. A time su izloženi i kibernetičkim napadima. Ti napadi postaju svaki dan sve sofisticiraniji i svakodnevno svjedočimo novim žrtvama napada. Za većinu tih napada nikad ne saznamo jer to nije nešto čime bi se tvrtke ili pojedinci željeli pohvaliti. No, sve češće možemo čuti kako je ne netko od naših suradnika, partnera ili korisnika bio žrtva.
Tko je u najvećoj opasnosti?
Svi koju su u online svijetu u opasnosti su od kibernetičkih napada. Njihova razina ili stupanj opasnosti ovisi o trenutno aktualnom stanju u svijetu, i varira od teme, jačine i trajanja. Isto je i s tvrtkama. One koje ignoriraju opasnosti njihove digitalne prisutnosti postaju lake žrtve i najviše su izložene kibernetičkim napadima.
Napadači koriste brojne alate koji automatski skeniraju ranjivosti svih sučelja prema Internetu i prije ili kasnije će otkriti tvrtku koja nije implementirala dovoljnu razinu zaštite. Danas sve tvrtke imaju implementirane osnovne mehanizme zaštite poput vatrozida i antivirusnog softvera. Međutim, svakodnevno se otkrivaju nove ranjivosti na postojećim sustavima kao i nove metode koje napadači koriste. Zato je kibernetička sigurnost kontinuirani proces na više razina koji se ne smije zapostaviti. U suprotnom napad dolazi vrlo brzo, a kazne su enormne.
Da li tvrtke, a i institucije, shvaćaju dosege potencijalne kibernetičke prijetnje i koji su glavni razlozi da se u to više ne ulaže?
Svjesnost raste kontinuirano jer svakodnevno svjedočimo posljedicama koje kibernetički napadi izazivaju a koje bi mogli svrstati bilo gdje na ljestvici od neugodnosti do ozbiljnih financijskih posljedica. Obično kada neki veći incident dođe do javnosti zainteresiranost za sigurnosna rješenja raste. Recentni primjer je upravo iz zemlje u regiji gdje je iz njihove Porezne uprave “procurila” tablica s podacima s plaćama svih radno aktivnih stanovnika te zemlje. Posljedice su dugoročne i ponekad nepovratne te osim reputacijskog rizika, rješavat će poslovne, statusne i financijske posljedice.
3,5 milijuna stručnjaka za kibernetičku sigurnost nedostajalo je lani u svijetu, čak 3,5 puta više naspram 2014.
Kolika je svjesnost od kibernetičkih prijetnji svjedoči i podatak iz PWC-ova ispitivanja glavnih izvršnih direktora, a obuhvaćeno je više 4400 ispitanika iz 89 zemalja. IOno je pokazalo kako izvršni direktori diljem svijeta vide kibernetičke rizike najvažnijom prijetnjom daljnjem rastu njihovih tvrtki. Čak i većom prijetnjom nego što su zdravstveni problemi, odnosno pandemija.
No, još je puno onih koje žive u nadi da neće baš oni biti žrtve. Jer oni nemaju nikakve podatke koji bi mogli biti interesantni napadačima. Niti su velika i bogata korporacija. Zanemaruju kako upravo tako postaju laka meta za napadače. U većini slučajeva napadačima nisu bitni podaci, međutim svakoj organizaciji oni su ključni za poslovanje. I ako ih napadač “zaključa” odnosno kriptira tako da ih se ne mogu koristiti, onda ćete biti prisiljeni platiti ih kako bi ih otključali i vratili.
Kako procjenjujete samosvijest o tome kod građana, kako globalno, tako i u Hrvatskoj?
Kako u tvrtkama tako i kod građana svjesnost o prijetnjama raste. Uzrok za to je što je sve više građana iskusilo neku vrstu kibernetičkog napada. No, još ima previše lakovjernih građana koji su spremni u e-mailu poslati podatke o svojoj kreditnoj kartici nepoznatom ili neprovjerenom primatelju.
Ne treba za to kriviti samo građane, jer napadači su vrlo domišljati, napadi sofisticirani i napad će učiniti sve kako bi vas uvjerio da im pošaljete povjerljive podatke koje će onda oni iskoristiti za neku kriminalnu radnju. Nekada su takve prijevare bile uvjetovane direktnim fizičkim kontaktom. Vjerojatno ste sami doživjeli ili čuli kakoje nepoznata osoba nekog uvjeravala da joj posudi 100 kn za autobusnu kartu da se može vratiti u svoj grad. Sada se nešto slično događa u online svijetu samo što napadač može biti bilo gdje u svijetu i iznosi mogu biti znatno veći.
Koliko su nadležne institucije spremne za borbu protiv kibernetičkog kriminala, kako globalno, a primarno u Hrvatskoj?
Posljednjih godina je u EU puno napravljen po pitanju legislative. Stručnjaci iz područja informacijske sigurnosti upoznati su s NIS direktivom (Network and Information Security) kojoj je cilj postići visoki stupanj otpornosti na kibernetičke prijetnje. Direktiva zahtijeva definiranje nosioca kritične infrastrukture u svakoj članici.
Krajem p2021. direktiva dobila je i proširenu verziju u obliku NIS2 direktive kako bi članice efikasnije odgovorile na rastuće prijetnje uzrokovane digitalizacijom te povećanjem broja napada. Poseban fokus stavljen je na opskrbne lance, pojednostavljeno izvješćivanje te strože nadzorne mjere provedbe.
Hrvatska je preuzela obaveze iz direktive te pretočila to u Zakon o kibernetičkoj sigurnosti operatera ključnih usluga i davatelja digitalnih usluga. Često možemo vidjeti da nedostaje u raznim državnim institucijama i javnim tvrtkama je provedba tih mjera. Već u fazi budžetiranja stavke namijenjene kibernetičkoj sigurnosti obično gube bitku u odnosu na druge strateške stvari. Međutim, neulaganje u kibernetičku sigurnost usporedio bih s mostom koji se ne održava.
Most nas povezuje s drugom stranom rijeke, ali ako ga ne održavamo u jednom trenutku će se srušiti. I bit ćemo sretni ako će šteta biti samo materijalna. A mi više uopće nećemo imati vezu s drugom stranom. Prevencija i detekcija su ključne za smanjenje rizika na minimum.
Da li je uopće kibernetičke prijetnje moguće gledati i braniti se od njih nacionalno?
Neke stvari je moguće i čak poželjno raditi na nacionalnoj razini. Recimo threat intelligence koji sadrži podatke o prijetnjama uključujući kontekst, mehanizme, pokazatelje, implikacije i savjete kako se zaštiti od postojećih i nadolazećih prijetnji. Nemoguće je da svaka tvrtka ima vlastiti tim samo za tu svrhu.
Potom širenje svijesti od kibernetičkih opasnosti koja je izuzetno bitna, jer u više od 90% uspješno izvedenih napada ljudski faktor je imao ključnu ulogu. I na kraju regulativa kojom se propisuju minimumi radnji koje tvrtke moraju poduzeti kako bi se zaštitile.
Kad je riječ o prevenciji i detekciji kibernetičkih prijetnji onda svaki IT sustav treba gledati i braniti ga zasebno, bez obzira radi li se o državnoj instituciji, privatnoj tvrtki ili našem osobnom računalu. Kao što svaka tvrtka ima svoju vezu na internet tako mora imati i svoj sustav zaštite od svih prijetnji kojima je preko te veze izložena.
Koliko političke napetosti povećavaju kibernetičke prijetnje?
Dio kibernetičkih napada je oduvijek bio politički motiviran pa čak i sponzoriran od vlada ili institucija nekih zemalja. Rusija je poznata kao zemlja koji donosi velike probleme u području kibernetičkih prijetnji.
Ukrajina je već ranije bila žrtva politički motiviranih kibernetičkih napada s ozbiljnim posljedicama. Tako je krajem 2015. 230.000 stanovnika Ukrajine ostalo bez električne energije zbog kibernetičkog napada koji je izvela Ruska skupina “Sandworm”.
Koliko takve prijetnje sponzorirane od država mogu ići daleko možemo vidjeti na primjeru od prije godine dana kada je kibernetički napad izazvao ozbiljno oštećenje Iranskog nuklearnog postrojenja, za što je kasnije odgovornost preuzeo Izrael. S obzirom na napad na Ukrajinu, intenzivirale su se aktivnosti i na kibernetičkom području.
A time i opravdana bojaznost od kibernetičkih napada na kritičnu infrastrukturu zemalja koje Rusija smatra neprijateljskim. Neke tvrtke nosioci kritične infrastrukture pojačale su ljudske kapacitete i infrastrukturu u svrhu pojačane otpornosti na kibernetičke prijetnje i pravovremene detekcije. Za većinu ostalih, kibernetička sigurnost je visoko na listi dnevnog reda rasprava na najvišoj razini.
Koliko Hrvatska ima vlastitog potencijala, kako u tvrtkama, stručnjacima tako i putem institucija i regulatornog okvira za borbu protiv tih prijetnji?
U IT industriji Hrvatska je konkurentna u globalnim razmjerima. U području kibernetičke sigurnosti nismo još na toj razini, ali ne zaostajemo puno. Kod nas ima nekoliko tvrtki specijaliziranih za kibernetičku sigurnost te nekoliko kojima ona predstavlja važan dio poslovanja.
Kako potrebe tržišta rastu tako će rasti i ponuda. Sve te tvrtke dijele globalni problem, a to je nedostatak stručnjaka. Prema Cybersecurity Venturesu, procjenjuje se kako je u svijetu u 2021. nedostajalo 3,5 milijuna stručnjaka za kibernetičku sigurnost. Što je porast od 3,5 puta u odnosu na 2014. To je vrlo zabrinjavajuće.
Vjerojatno potpuna zaštita protiv ovakvih prijetnji ne postoji jer se razvijaju i prijetnje i obrana od njih, no kolika ulaganja su potrebna, barem na razini neke manje i srednje tvrtke, koja bi se željela optimalno zaštiti od kibernetičkih napada?
Potpuna zaštita od kibernetičkih prijetnji ne postoji. To će uvijek biti natjecanje između “bad guys” i “good guys”. Ali rizici od uspješnih napada se mogu svesti na minimum pravom kombinacijom specijalističkih alata, odgovarajućih stručnjaka i primjerenih procesa.
Alati bez ljudi su beskorisni, a ljudi bez procesa su neefikasni. Koja je to prava kombinacija alata, ljudi i procesa ovisi o konkretnoj tvrtki, njezinoj IT infrastrukturi te sigurnosnim rješenjima koja već ima implementirane. Efikasnu zaštitu promatramo kroz pet glavnih segmenata.
Riječ je o identificiranju i klasificiranju procesa i imovine koji zahtijevaju zaštitu, implementaciju preventivnih i zaštitnih alata i mehanizama od napada. Potom detekciju kibernetičkih incidenata, prijetnji i ranjivosti te radnje za suzbijanje utjecaja kibernetičkih prijetnji i incidenata.
Na kraju implementacija infrastrukture, alata i procesa koji će omogućiti oporavak u slučaju kibernetičkog incidenta ili katastrofe. Za tvrtku koja još nema jasnu sliku koje sljedeće korake treba poduzeti, a onda i koje troškove mogu očekivati, najbolje je da krene s analizom postojećeg stanja. U takvoj analizi se kreće od poslovnih zahtjeva i važnosti pojedinih segmenata IT sustava na kontinuitet poslovanja.
Ti zahtjevi sa tada pretaču u tehničke zahtjeve za specijalističke alate i potrebne stručnjake. Iz toga se radi procjena potrebne investicije. Ciljano naglašavam investicije, jer to je investicija u kontinuitet poslovanja tvrtke ili institucije, a ne trošak.